Red Menshen: "خلايا نائمة" مخفية كتستهدف شبكات التيليكوم العالمية
Red Menshen: "خلايا نائمة" مخفية كتستهدف شبكات التيليكوم العالمية
واحد الحملة ديال التجسس واعرة وطويلة المدى خدامة دابا وكتستهدف شركات اتصالات (telecom) فآسيا والشرق الأوسط. هاد العملية، اللي منسوبة لواحد المجموعة ديال "الهاكرز" عندها علاقة بالصين وكتسما Red Menshen، كتمثل داكشي اللي كيوصفوه الباحثين بـ "الخلايا النائمة الرقمية" الأكثر تخفياً اللي تكتشفات حتى لآبا فالبنية التحتية الحيوية.
من خلال زرع برامج خبيثة (implants) فالمستوى ديال النواة (kernel-level) داخل "العمود الفقري" ديال شبكات التيليكوم، قدرات هاد المجموعة تحافظ على التواجد ديالها باش تجسس على شبكات حكومية وتبع شخصيات مهمة لسنوات.
ملخص (TL;DR)
مجموعة Red Menshen (المعروفة بـ Earth Bluecrow) كتخدم بواحد "البيبان خلفية" (backdoors) فـ Linux صعيب يتكشفو كيتسماو BPFDoor باش تخترق شركات التيليكوم. هاد البرامج كتخلي المهاجمين يتخبّاو وسط النواة ديال نظام التشغيل (OS kernel)، ويراقبو الحركة ديال البيانات الداخلية، ويتنقلو وسط الشبكات بلا ما يخليو قنوات "تحكم وسيطرة" (C2) باينة. مؤخراً، الحملة تطورات وبانو نسخ جديدة كتتخبى وسط حركة مرور HTTPS العادية وكتستعمل بروتوكول ICMP باش تواصل بين الأجهزة المخترقة.
بطاقة تعريف المهاجم: Red Menshen
مجموعة Red Menshen، اللي معروفة حتى بـ Earth Bluecrow، DecisiveArchitect، و Red Dev 18، نشطة من عام 2021 على الأقل. الهدف الأساسي ديالهم باين هو "التمركز الاستراتيجي" — يعني يدخلو لبيئات حساسة ويحافظو على وصول طويل المدى وبلا صداع باش يسهلو عملية التجسس.
المجموعة كتستهدف بالضبط "العمود الفقري للتيليكوم" (telecom backbone)، حيت هاد البلاصة كتعطيهم فرصة يراقبو سلوك المشتركين، يتبعو المواقع ديالهم، ويشوفو المراسلات الحكومية الحساسة اللي كتدوز عبر هاد الشركات.
الدخلة الأولى: استهداف "الأجهزة الحدودية"
السلسلة ديال الهجوم كبدا باستغلال ثغرات فالبنية التحتية اللي متصلة بالإنترنت. Red Menshen كتستهدف الخدمات والأجهزة الحدودية (edge services) ديال شركات كبار، بحال:
- أجهزة VPN و "جدران الحماية" (Cisco, Ivanti, Juniper Networks, Fortinet, Palo Alto Networks)
- منصات الأنظمة الوهمية (VMware)
- منصات الويب (Apache Struts)
غير كيقبطوا الدخلة الأولى، المهاجمين كينشروا مجموعة ديال أدوات ما بعد الاختراق، بحال Sliver، CrossC2، و TinyShell، بالإضافة لبرامج كيسجلوا الضغط على الكلافي (keyloggers) وأدوات التخمين باش يسرقوا "الكريدنشلز" (credentials) ويتحركو لداخل الشبكة.
التهديد الرئيسي: BPFDoor
القطعة الأساسية فالسلاح ديال Red Menshen هي BPFDoor، وهو backdoor ديال Linux كيخدم بطريقة مختالفة على البرامج الخبيثة العادية. بلاصة ما يحلو "بورت" (port) كيتسنّى أو يصيفط إشارات (beaconing) لواحد السيرفر — هاد الأفعال غالباً كتعيق الأنظمة الأمنية — BPFDoor كيستعمل خاصية Berkeley Packet Filter (BPF).
كيفاش كيخدم:
- المراقبة السلبية: البرنامج كيكون جالس مباشرة وسط الـ kernel، وكيراقب كاع حركة البيانات اللي داخلة للشبكة.
- الطرود السحرية (Magic Packets): كيبقى ناعس حتى كيتعرف على "طرد" (packet) مصاوب بطريقة خاصة كيتسما "الزناد" أو "Magic Packet".
- التحكم عن بُعد (Remote Shell): غير كيوصلو هاد الـ packet، البرنامج كيحل "Shell" للمهاجم باش يتحكم.
- المتحكم الداخلي: المهاجمين كيستعملو حتى واحد "Controller" وسط البيئة ديال الضحية اللي كيقدر يتنكر فصورة عمليات نظام عادية باش يفيق البرامج الخبيثة فـ "هوستات" (hosts) داخلية أخرى.
مراقبة بروتوكولات التيليكوم
التحليلات الأخيرة ديال Rapid7 لقات باللي شي نسخ ديال BPFDoor دابا ولات كتدعم بروتوكول SCTP (Stream Control Transmission Protocol). هادشي خطير حيت SCTP مستعمل بزاف فـ "إشارات التيليكوم" (telecom signaling). من خلال مراقبة هاد البروتوكول، Red Menshen تقدر تشوف بيانات المشتركين وتحركاتهم، وممكن تتبع أشخاص محددين فالوقت الحقيقي.
تطور التخفي: نسخ جديدة من BPFDoor
مؤخراً، Red Menshen بدات كتخدم بنسخ جديدة ديال BPFDoor ما كانتش معروفة، مصممة باش تفوت أنظمة المراقبة الحديثة ديال الشركات. المميزات الجديدة فيها:
- التمويه بـ HTTPS: الـ "Magic Packet" دابا ولا مخبي وسط حركة مرور HTTPS اللي كاتبان عادية.
- تحليل الإزاحة الثابتة (Fixed Offset Parsing): باش يتفاداو الكشف، البرنامج كيقلب على "string" معين ("9999") فواحد البلاصة محددة (byte offset) داخل الطلب باش يتفعل.
- تواصل ICMP: ميكانيزم جديد وخفيف ديال التواصل كيخلي جوج أجهزة مخترقة يهضرو مع بعضياتهم باستعمال بروتوكول ICMP.
خلاصة
الحملة ديال Red Menshen كتمثل تحول كبير فطريقة الخدمة ديال العدو. من خلال البعد على البرامج الخبيثة اللي كتخدم فـ "User-space" وزرعها فاعماق النظام — خاصة فـ "Kernel" ديال نظام التشغيل ومكونات الـ 4G/5G — المهاجمين قدرو فعلياً "يختفيو" وسط البنية التحتية.
مع استمرار دمج أنظمة "Bare-metal" وطبقات الـ Virtualization المعقدة فبيئات التيليكوم، هاد "الخلايا النائمة الرقمية" كتعتبر تحدي كبير لأنظمة مراقبة الأجهزة (endpoint monitoring)، وكتطلب نهج متخصص كتر فـ تحليل حركة مرور الشبكة وأمن الـ kernel.